Microsoft выпустила экстренный патч для ASP.NET Core на Linux и macOS

Microsoft выпустила внеплановое обновление безопасности для фреймворка ASP.NET Core, закрывающее критическую уязвимость с идентификатором CVE-2026-40372. Брешь затрагивает приложения, работающие на Linux и macOS, и позволяет неаутентифицированному атакующему получить привилегии уровня SYSTEM — то есть полный контроль над скомпрометированной машиной.

Проблема обнаружена в пакете Microsoft.AspNetCore.DataProtection (NuGet) версий с 10.0.0 по 10.0.6 включительно. Исправление вошло в версию 10.0.7, выпущенную в экстренном порядке во вторник вечером.

Как работает уязвимость

Корень проблемы — в некорректной проверке криптографических подписей при HMAC-валидации. Этот механизм отвечает за подтверждение целостности и подлинности данных, которыми обмениваются клиент и сервер. Из-за ошибки в реализации атакующий мог подделать аутентификационные payload'ы и выдать себя за привилегированного пользователя без каких-либо учётных данных.

Получив таким образом доступ, злоумышленник мог вынудить приложение выдать ему легитимно подписанные токены — сессионные, API-ключи, ссылки для сброса пароля. Принципиально важно: эти токены создавались самим приложением и с криптографической точки зрения выглядели абсолютно корректно.

ASP.NET Core Microsoft описывает как высокопроизводительный фреймворк для разработки .NET-приложений, работающих на Windows, macOS, Linux и Docker. Это open-source решение, ориентированное на быстрое развитие runtime-компонентов, API и компиляторов при сохранении стабильной платформы для продакшн-приложений.

Патч установлен — угроза не исчезла

Особую опасность представляет следующее: обновление до версии 10.0.7 само по себе не устраняет последствия уже состоявшейся атаки. Если в период существования уязвимости злоумышленник успел получить легитимно выданные токены, они продолжат работать и после патчинга.

««Если атакующий использовал поддельные payload'ы для аутентификации под привилегированным пользователем в уязвимый период, он мог получить от приложения легитимно подписанные токены — сессионные, API-ключи, ссылки для сброса пароля. Эти токены остаются действительными после обновления до версии 10.0.7, если не выполнена ротация ключевого кольца DataProtection», — предупреждает Microsoft.»

Таким образом, простой установки обновления недостаточно. Командам безопасности необходимо выполнить ротацию ключевого кольца DataProtection (DataProtection key ring), чтобы аннулировать все токены, выданные в период работы уязвимой версии пакета. Без этого шага скомпрометированные сессии и API-ключи останутся активными.

Дополнительно рекомендуется провести аудит логов аутентификации за период использования версий 10.0.0–10.0.6: искать нетипичные паттерны входа, особенно от привилегированных учётных записей, и проверить, не были ли выданы токены с аномальными временными метками или источниками запросов.

Что это значит для разработчиков в Беларуси

Для белорусского IT-рынка уязвимость актуальна напрямую: ASP.NET Core широко используется в продуктовых и аутсорсинговых компаниях — резидентах ПВТ и за его пределами. Многие команды развёртывают .NET-приложения именно на Linux-серверах (Ubuntu, Debian, RHEL) в облаке или on-premise, что делает их потенциальными целями.

Приоритет действий прост: обновить пакет Microsoft.AspNetCore.DataProtection до версии 10.0.7 через NuGet, выполнить ротацию ключей DataProtection и проверить логи за период с момента перехода на ветку 10.0.x. Если приложение обрабатывает финансовые данные или персональные данные пользователей, промедление с этими шагами создаёт не только технический, но и регуляторный риск.

— По материалам Ars Technica: оригинальная статья. Перевод и адаптация — редакция Digital Business by.